SlideShare a Scribd company logo

Seguridad en Dispositivos Móviles

Jaime Restrepo
Jaime Restrepo

Seguridad en Dispositivos Móviles Ezequiel Sallis / Claudio Caracciolo 1Hackparaloschicos

TechnologyBusiness
1 of 28
Download to read offline
1HackParaLosChicos   Jornada  Solidaria  de  Seguridad  de  la  Información   26  de  julio,  Buenos  Aires  -­‐  Argen;na  
Seguridad  en  Disposi7vos  Móviles   Jornada  Solidaria  de  Seguridad  de  la  Información   26  de  julio,  Buenos  Aires  -­‐  Argen;na  
Agenda   Situación Actual Problemática Seguridad Física Seguridad en los Sistemas Operativos Seguridad en las Aplicaciones Seguridad en el Almacenamiento de Datos Seguridad en el Control de Accesos Otros Contramedidas Demos Conclusiones #1HackParaLosChicos   3  
Situación  Actual    (Deja-­‐vù)   Los dispositivos móviles dejaron de ser únicamente un Gadget tecnológico para pasar a formar parte de un fenómeno social y empresarial. Sus capacidades de procesamiento, usabilidad y conectividad se incrementan de manera vertiginosa. Las redes de telefonía móvil que los soportan, han crecido tanto tecnológicamente como geográficamente permitiendo el acceso a la información en cualquier lugar de manera efectiva. Tanto el acceso a la información corporativa como a contenidos sociales y ociosos se están mudando hacia la “cuarta pantalla” y los vectores de ataque tradicionales no son la excepción. #1HackParaLosChicos   4  
Situación  Actual   Por el contrario de lo que sucede con los sistemas operativos de las máquinas de escritorio, el mercado de los dispositivos móviles posee una mayor oferta y diversidad. El mercado de los dispositivos móviles esta liderado por los smartphones pero las Tablets sin duda, jugaran un papel fundamental en las empresas en el corto plazo (si es que ya no lo están jugando J ) #1HackParaLosChicos   5  
Situación  Actual    -­‐  Actores  principales   RIM OS (RIM) IOS (Apple) Android (Google) Windows Phone (Microsoft) WebOS (HP) Symbian (Nokia) #1HackParaLosChicos   6  
Situación  Actual    -­‐  Actores  principales   #1HackParaLosChicos   7  
Problemá7ca   Escenarios del mundo corporativo ante los dispositivos móviles ü  Plataforma única, integrada y estandarizada. ü  Plataforma única, integrada, estandarizada con excepciones. ü  Plataforma IGWT In God We Trust #1HackParaLosChicos   8  
Problemá7ca   Así como las notebooks fueron desplazando a las estaciones de trabajo, hoy en día los dispositivos móviles van ocupando ese lugar tan privilegiado. En la pelea por ocuparlo, los actores principales del mercado se enfocan en “la experiencia del usuario” trabajando en los temas de seguridad de manera reactiva. #1HackParaLosChicos   9  
Problemá7ca-­‐  Seguridad  Física   Como en los viejos tiempos, la pérdida y/o el robo representan hoy en día el problema más significativo. En el mejor de los casos, solo deberíamos lamentar la pérdida del hardware, de no ser así, es solo el principio del problema. El escenario corporativo más afectado es el IGWT ya que desconoce la existencia de los equipos en la red, de la información almacenada en el mismo (claves, datos, mails, etc) e incluso hasta de la pérdida producida. #1HackParaLosChicos   10  
Problemá7ca  –  Seguridad  en  Sistemas   Opera7vos   La diversidad y segmentación (fragmentación) de los sistemas operativos disponibles para los dispositivos móviles plantea desde el inicio un complejo escenario: ü  Administración de perfiles de multi-usuario ü  Arquitectura de seguridad (basados en ID o Privilegios) ü  Segmentación/fragmentación de versiones ü  Gestión y remediación de vulnerabilidades #1HackParaLosChicos   11  
Problemá7ca  –  Seguridad  en  Sistemas   Opera7vos   #1HackParaLosChicos   12  
Problemá7ca  –  Seguridad  en  Sistemas   Opera7vos   #1HackParaLosChicos   13  
Problemá7ca  –  Arquitectura   Funcionalidad  vs  Seguridad   DEMO   #1HackParaLosChicos   14  
Problemá7ca:   Seguridad  en  Aplicaciones   Si bien existe multiplicidad de problemas a nivel aplicación, quizás la forma más clara de representarla se resume en los siguientes puntos: ü  Ausencia de buenas practicas de desarrollo seguro ü  Aspectos de diseño (Usabilidad vs Seguridad) ü  Instalación de software no controlado ü  Controles en la firma de aplicaciones ü  Malware ü  Canales de comunicación inseguros #1HackParaLosChicos   15  
Problemá7ca:     Seguridad  en  Aplicaciones   DEMO   #1HackParaLosChicos   16  
Problemática – Seguridad en Almacenamiento de Datos La mayoría de los dispositivos móviles poseen más de una zona donde almacenar los datos, independientemente de su arquitectura. Todos los actores están de acuerdo en que deben protegerlos, sin embargo no todos lo hacen de la misma forma: ü  Cifrado a nivel de RAM ü  Cifrado a nivel de ROM ü  Cifrado a nivel de Memoria de Local ü  Cifrado a nivel de Memoria de Almacenamiento Extraíble (SD) ü  Cifrado a nivel de copia de seguridad externa #1HackParaLosChicos   17  
Problemá7ca  –  Seguridad  en     Control  de  Accesos   Muy relacionado con el acceso físico, y conformando la primer barrera de protección, el PIN o CLAVE se convierte en un factor primordial. ü  Claves débiles (predictibilidad y tamaño) ü  Teclados complejos para claves complejas ü  Ingeniería social (shoulder surfing) ü  Almacenamiento inseguro de claves en los dispositivos ü  Ausencia de múltiples capas de validación. #1HackParaLosChicos   18  
Problemá7ca  –  Seguridad  en     Control  de  Accesos   #1HackParaLosChicos   19  
Problemá7ca  –  Seguridad  en     Control  de  Accesos   DEMO   #1HackParaLosChicos   20  
Problemá7ca:   Otros  aspectos  relevantes   ü  802.11 ü  Bluetooth ü  3G / EDGE / GSM ü  USB / Mini USB / etc ü  Privacidad (Geolocalización y Metadatos) #1HackParaLosChicos   21  
Contramedidas   #1HackParaLosChicos   22  
Contramedidas   Definir estándares de seguridad independientemente de la plataforma. Concienciación de usuarios. Utilizar los sistemas de administración centralizada (Mobile Device Manager) para las plataformas implementadas: - Habilitar borrado remoto. - Habilitar bloqueo remoto. - Geolocalización del equipo. - Aplicación de Políticas (OTA) #1HackParaLosChicos   23  
Contramedidas   Robustecer controles de acceso según criticidad del dispositivo/dueño (Pin a nivel de OS, Pin a nivel de SIM, Medios Extraíbles, autenticación por aplicación y factor de autenticación múltiple) Cifrado de la información (medios de almacenamiento locales, extraíbles y memorias). Gestión de aplicaciones: - Soluciones antimalware. - Utilización de canales seguros por cualquier interface. - Descarga e instalación de APP’s de fuentes confiables. #1HackParaLosChicos   24  
Conclusiones   Los dispositivos móviles, son más que una moda. Administrarlos de manera descentralizada es como implementar parches máquina por máquina en nuestra red. Si los usuarios no entienden el problema, las soluciones puramente técnicas serán poco efectivas. Los problemas de seguridad ya los conocemos, solo se mudaron a otro escenario. Igualmente recuerde… #1HackParaLosChicos   25  
Conclusiones   …Atiende en todas partes, las 24 horas #1HackParaLosChicos   26  
Preguntas?   @holesec   @simubucks   #1HackParaLosChicos   27  
Muchas  Gracias!!   #1hackparaloschicos  

Recommended

Seguridad en dispositivos móviles 2014
Seguridad en dispositivos móviles 2014Seguridad en dispositivos móviles 2014
Seguridad en dispositivos móviles 2014
edwardo
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos Móviles
javiermatuk
 
Ciberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación DigitalCiberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación Digital
Edgar Parada
 
Sistemas informáticos. 2º eso. 03. Protección del sistema. Teoría solamente
Sistemas informáticos. 2º eso. 03. Protección del sistema. Teoría solamenteSistemas informáticos. 2º eso. 03. Protección del sistema. Teoría solamente
Sistemas informáticos. 2º eso. 03. Protección del sistema. Teoría solamente
Tu Instituto Online
 
CiberSeguridad Ataques informáticos están cambiando el mundo
CiberSeguridad Ataques informáticos están cambiando el mundoCiberSeguridad Ataques informáticos están cambiando el mundo
CiberSeguridad Ataques informáticos están cambiando el mundo
Juan Oliva
 
Seguridad en sistemas operativos
Seguridad en sistemas operativos Seguridad en sistemas operativos
Seguridad en sistemas operativos
Felipe Garza Sánchez
 
Plan de seguridad de tu dispositivo móvil
Plan de seguridad de tu dispositivo móvilPlan de seguridad de tu dispositivo móvil
Plan de seguridad de tu dispositivo móvil
Marian Riesgo
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
TECHNOLOGYINT
 

Recommended

Seguridad en dispositivos móviles 2014
Seguridad en dispositivos móviles 2014Seguridad en dispositivos móviles 2014
Seguridad en dispositivos móviles 2014
edwardo
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos Móviles
javiermatuk
 
Ciberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación DigitalCiberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación Digital
Edgar Parada
 
Sistemas informáticos. 2º eso. 03. Protección del sistema. Teoría solamente
Sistemas informáticos. 2º eso. 03. Protección del sistema. Teoría solamenteSistemas informáticos. 2º eso. 03. Protección del sistema. Teoría solamente
Sistemas informáticos. 2º eso. 03. Protección del sistema. Teoría solamente
Tu Instituto Online
 
CiberSeguridad Ataques informáticos están cambiando el mundo
CiberSeguridad Ataques informáticos están cambiando el mundoCiberSeguridad Ataques informáticos están cambiando el mundo
CiberSeguridad Ataques informáticos están cambiando el mundo
Juan Oliva
 
Seguridad en sistemas operativos
Seguridad en sistemas operativos Seguridad en sistemas operativos
Seguridad en sistemas operativos
Felipe Garza Sánchez
 
Plan de seguridad de tu dispositivo móvil
Plan de seguridad de tu dispositivo móvilPlan de seguridad de tu dispositivo móvil
Plan de seguridad de tu dispositivo móvil
Marian Riesgo
 
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
Pedro castillo technologyint concientizacion para enfrentar los ciberaraques ...
TECHNOLOGYINT
 
Presentacion sobre delitos de alta tecnologia y ataques ciberneticos
Presentacion sobre delitos de alta tecnologia y ataques ciberneticosPresentacion sobre delitos de alta tecnologia y ataques ciberneticos
Presentacion sobre delitos de alta tecnologia y ataques ciberneticos
TECHNOLOGYINT
 
Ataques ciberneticos a cajeros automaticos
Ataques ciberneticos a cajeros automaticosAtaques ciberneticos a cajeros automaticos
Ataques ciberneticos a cajeros automaticos
TECHNOLOGYINT
 
Proteccion de datos auditoria
Proteccion de datos auditoriaProteccion de datos auditoria
Proteccion de datos auditoria
Hector Arbelaez
 
Fuga de información - segu-info
Fuga de información - segu-infoFuga de información - segu-info
Fuga de información - segu-info
Cristian Borghello
 
Seguridad y transformación digital
Seguridad y transformación digitalSeguridad y transformación digital
Seguridad y transformación digital
Maurice Frayssinet
 
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentesCiberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Luis Joyanes
 
Cracker-Hacker-Ethical Hacking
Cracker-Hacker-Ethical HackingCracker-Hacker-Ethical Hacking
Cracker-Hacker-Ethical Hacking
Martha Gonzalez
 
Caso Unilever Pedro Ancona
Caso Unilever Pedro AnconaCaso Unilever Pedro Ancona
Caso Unilever Pedro Ancona
newrostro
 
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
TECHNOLOGYINT
 
Perfil de tesis final ftp
Perfil de tesis final ftpPerfil de tesis final ftp
Perfil de tesis final ftp
mohametneydertorres
 
Charla nuevas tecnologías Android: realidad aumentada, geolocalización, NFC
Charla nuevas tecnologías Android: realidad aumentada, geolocalización, NFCCharla nuevas tecnologías Android: realidad aumentada, geolocalización, NFC
Charla nuevas tecnologías Android: realidad aumentada, geolocalización, NFC
José Ignacio Álvarez Ruiz
 
Ciberseguridad para la transformación digital, el nuevo desafío
Ciberseguridad para la transformación digital, el nuevo desafío Ciberseguridad para la transformación digital, el nuevo desafío
Ciberseguridad para la transformación digital, el nuevo desafío
Cristian Garcia G.
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
alvaro villarreal
 
Peresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioPeresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribio
Santiago Toribio Ayuga
 
Tema h
Tema hTema h
Tema h
AnibalSaucedo
 
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
Cristian Garcia G.
 
Cyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de GestiónCyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de Gestión
Cristian Garcia G.
 
Smartphone
SmartphoneSmartphone
Smartphone
Santander México
 
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
Cristian Garcia G.
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
Jaime Andrés Bello Vieda
 
Vectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesVectores de ataque dispositivos moviles
Vectores de ataque dispositivos moviles
Cristian Borghello
 
Seguridad vs Desarrolladores
Seguridad vs DesarrolladoresSeguridad vs Desarrolladores
Seguridad vs Desarrolladores
Jaime Restrepo
 

More Related Content

What's hot

Ataques ciberneticos a cajeros automaticos
Ataques ciberneticos a cajeros automaticosAtaques ciberneticos a cajeros automaticos
Ataques ciberneticos a cajeros automaticos
TECHNOLOGYINT
 
Proteccion de datos auditoria
Proteccion de datos auditoriaProteccion de datos auditoria
Proteccion de datos auditoria
Hector Arbelaez
 
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentesCiberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Luis Joyanes
 
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
TECHNOLOGYINT
 
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
Cristian Garcia G.
 

What's hot (19)

Presentacion sobre delitos de alta tecnologia y ataques ciberneticos
Presentacion sobre delitos de alta tecnologia y ataques ciberneticosPresentacion sobre delitos de alta tecnologia y ataques ciberneticos
Presentacion sobre delitos de alta tecnologia y ataques ciberneticos
 
Ataques ciberneticos a cajeros automaticos
Ataques ciberneticos a cajeros automaticosAtaques ciberneticos a cajeros automaticos
Ataques ciberneticos a cajeros automaticos
 
Proteccion de datos auditoria
Proteccion de datos auditoriaProteccion de datos auditoria
Proteccion de datos auditoria
 
Fuga de información - segu-info
Fuga de información - segu-infoFuga de información - segu-info
Fuga de información - segu-info
 
Seguridad y transformación digital
Seguridad y transformación digitalSeguridad y transformación digital
Seguridad y transformación digital
 
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentesCiberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
Ciberseguridad: Retos, oportunidades y riesgos de las tecnologías emergentes
 
Cracker-Hacker-Ethical Hacking
Cracker-Hacker-Ethical HackingCracker-Hacker-Ethical Hacking
Cracker-Hacker-Ethical Hacking
 
Caso Unilever Pedro Ancona
Caso Unilever Pedro AnconaCaso Unilever Pedro Ancona
Caso Unilever Pedro Ancona
 
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
Presentacion estrategia nacional de ciberseguridad y su incidencia en los ata...
 
Perfil de tesis final ftp
Perfil de tesis final ftpPerfil de tesis final ftp
Perfil de tesis final ftp
 
Charla nuevas tecnologías Android: realidad aumentada, geolocalización, NFC
Charla nuevas tecnologías Android: realidad aumentada, geolocalización, NFCCharla nuevas tecnologías Android: realidad aumentada, geolocalización, NFC
Charla nuevas tecnologías Android: realidad aumentada, geolocalización, NFC
 
Ciberseguridad para la transformación digital, el nuevo desafío
Ciberseguridad para la transformación digital, el nuevo desafío Ciberseguridad para la transformación digital, el nuevo desafío
Ciberseguridad para la transformación digital, el nuevo desafío
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Peresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribioPeresentacion alma seguridad santiago toribio
Peresentacion alma seguridad santiago toribio
 
Tema h
Tema hTema h
Tema h
 
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
 
Cyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de GestiónCyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de Gestión
 
Smartphone
SmartphoneSmartphone
Smartphone
 
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
 

Similar to Seguridad en Dispositivos Móviles

Vectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesVectores de ataque dispositivos moviles
Vectores de ataque dispositivos moviles
Cristian Borghello
 
Perdida de datos campus party
Perdida de datos campus partyPerdida de datos campus party
Perdida de datos campus party
Futura Networks
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4
rayudi
 
SafeStick - aTICser v4
SafeStick - aTICser v4SafeStick - aTICser v4
SafeStick - aTICser v4
ATICSER STI
 

Similar to Seguridad en Dispositivos Móviles (20)

Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Vectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesVectores de ataque dispositivos moviles
Vectores de ataque dispositivos moviles
 
Seguridad vs Desarrolladores
Seguridad vs DesarrolladoresSeguridad vs Desarrolladores
Seguridad vs Desarrolladores
 
Hacking applications that use IoT
Hacking applications that use IoT Hacking applications that use IoT
Hacking applications that use IoT
 
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14
M. Cediel. La seguridad en el Cloud para PYMEs. EIIA14
 
Perdida de datos campus party
Perdida de datos campus partyPerdida de datos campus party
Perdida de datos campus party
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4
 
SafeStick - aTICser v4
SafeStick - aTICser v4SafeStick - aTICser v4
SafeStick - aTICser v4
 
Consideraciones para el Desarrollo de Aplicaciones Móviles
Consideraciones para el Desarrollo de Aplicaciones MóvilesConsideraciones para el Desarrollo de Aplicaciones Móviles
Consideraciones para el Desarrollo de Aplicaciones Móviles
 
Top 10 riesgos de las aplicaciones móviles
Top 10 riesgos de las aplicaciones móvilesTop 10 riesgos de las aplicaciones móviles
Top 10 riesgos de las aplicaciones móviles
 
Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
 
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones SegurasIntroduccion de un curso sobre Diseño de Aplicaciones Seguras
Introduccion de un curso sobre Diseño de Aplicaciones Seguras
 
Hardware sofware y redes sociales
Hardware sofware y redes socialesHardware sofware y redes sociales
Hardware sofware y redes sociales
 
Tipos de sistemas operativos
Tipos de sistemas operativosTipos de sistemas operativos
Tipos de sistemas operativos
 
Desarrollo de aplicaciones seguras
Desarrollo de aplicaciones segurasDesarrollo de aplicaciones seguras
Desarrollo de aplicaciones seguras
 
Consideraciones al diseñar aplicaciones móviles para la nube
Consideraciones al diseñar aplicaciones móviles para la nubeConsideraciones al diseñar aplicaciones móviles para la nube
Consideraciones al diseñar aplicaciones móviles para la nube
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridad
 
Analisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASPAnalisis Aplicaciones Moviles con OWASP
Analisis Aplicaciones Moviles con OWASP
 
Trabajo monografico IBM-2.docx
Trabajo monografico IBM-2.docxTrabajo monografico IBM-2.docx
Trabajo monografico IBM-2.docx
 
20160210 microsoft iot
20160210 microsoft iot20160210 microsoft iot
20160210 microsoft iot
 

More from Jaime Restrepo

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )
Jaime Restrepo
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
Jaime Restrepo
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4
Jaime Restrepo
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jar
Jaime Restrepo
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticos
Jaime Restrepo
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)
Jaime Restrepo
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
Jaime Restrepo
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
Jaime Restrepo
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Jaime Restrepo
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Jaime Restrepo
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_con
Jaime Restrepo
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jar
Jaime Restrepo
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behaviours
Jaime Restrepo
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)
Jaime Restrepo
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysis
Jaime Restrepo
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dicho
Jaime Restrepo
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Jaime Restrepo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19
Jaime Restrepo
 

More from Jaime Restrepo (20)

I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )I Know You ( iKy OSINT Tool )
I Know You ( iKy OSINT Tool )
 
i fought the law and the law lost
i fought the law and the law losti fought the law and the law lost
i fought the law and the law lost
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4
 
Zer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jarZer 0 no zer(0 day) dragon jar
Zer 0 no zer(0 day) dragon jar
 
Alta seguridad para clusters críticos
Alta seguridad para clusters críticosAlta seguridad para clusters críticos
Alta seguridad para clusters críticos
 
Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)Bogotá Wardriving (Spanish)
Bogotá Wardriving (Spanish)
 
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
IoT Cyber Attacks: Comprometiendo la Ciberseguridad de Gasolineras en Latinoa...
 
WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)WordPress, another terror story (Spanish)
WordPress, another terror story (Spanish)
 
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/LinuxHunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
Hunting Buffer Overflow. A la caza de funciones inseguras en GNU/Linux
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
 
Memorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_conMemorias perito vol_7_dragonjar_con
Memorias perito vol_7_dragonjar_con
 
Cloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jarCloud native security en tiempo de coronavirus dragon jar
Cloud native security en tiempo de coronavirus dragon jar
 
Analysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behavioursAnalysis of time windows to detect botnets behaviours
Analysis of time windows to detect botnets behaviours
 
Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)Bug Bounty Experiences (Spanish)
Bug Bounty Experiences (Spanish)
 
Threat intel malware_analysis
Threat intel malware_analysisThreat intel malware_analysis
Threat intel malware_analysis
 
Bugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dichoBugbounty en Español, todo lo que no te han dicho
Bugbounty en Español, todo lo que no te han dicho
 
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el TerrorismoTécnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
Técnicas de Inteligencia en la lucha contra el Crimen Organizado y el Terrorismo
 
Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19Gestión del tiempo en tiempos del COVID-19
Gestión del tiempo en tiempos del COVID-19
 
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
Pentest: Técnicas alternativas para un cliente “experimentado” – Nelson Boris...
 
CSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David CastroCSRF: El "Nuevo" Target - Juan David Castro
CSRF: El "Nuevo" Target - Juan David Castro
 

Recently uploaded

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Recently uploaded (11)

Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Seguridad en Dispositivos Móviles

  • 1. 1HackParaLosChicos   Jornada  Solidaria  de  Seguridad  de  la  Información   26  de  julio,  Buenos  Aires  -­‐  Argen;na  
  • 2. Seguridad  en  Disposi7vos  Móviles   Jornada  Solidaria  de  Seguridad  de  la  Información   26  de  julio,  Buenos  Aires  -­‐  Argen;na  
  • 3. Agenda   Situación Actual Problemática Seguridad Física Seguridad en los Sistemas Operativos Seguridad en las Aplicaciones Seguridad en el Almacenamiento de Datos Seguridad en el Control de Accesos Otros Contramedidas Demos Conclusiones #1HackParaLosChicos   3  
  • 4. Situación  Actual    (Deja-­‐vù)   Los dispositivos móviles dejaron de ser únicamente un Gadget tecnológico para pasar a formar parte de un fenómeno social y empresarial. Sus capacidades de procesamiento, usabilidad y conectividad se incrementan de manera vertiginosa. Las redes de telefonía móvil que los soportan, han crecido tanto tecnológicamente como geográficamente permitiendo el acceso a la información en cualquier lugar de manera efectiva. Tanto el acceso a la información corporativa como a contenidos sociales y ociosos se están mudando hacia la “cuarta pantalla” y los vectores de ataque tradicionales no son la excepción. #1HackParaLosChicos   4  
  • 5. Situación  Actual   Por el contrario de lo que sucede con los sistemas operativos de las máquinas de escritorio, el mercado de los dispositivos móviles posee una mayor oferta y diversidad. El mercado de los dispositivos móviles esta liderado por los smartphones pero las Tablets sin duda, jugaran un papel fundamental en las empresas en el corto plazo (si es que ya no lo están jugando J ) #1HackParaLosChicos   5  
  • 6. Situación  Actual    -­‐  Actores  principales   RIM OS (RIM) IOS (Apple) Android (Google) Windows Phone (Microsoft) WebOS (HP) Symbian (Nokia) #1HackParaLosChicos   6  
  • 7. Situación  Actual    -­‐  Actores  principales   #1HackParaLosChicos   7  
  • 8. Problemá7ca   Escenarios del mundo corporativo ante los dispositivos móviles ü  Plataforma única, integrada y estandarizada. ü  Plataforma única, integrada, estandarizada con excepciones. ü  Plataforma IGWT In God We Trust #1HackParaLosChicos   8  
  • 9. Problemá7ca   Así como las notebooks fueron desplazando a las estaciones de trabajo, hoy en día los dispositivos móviles van ocupando ese lugar tan privilegiado. En la pelea por ocuparlo, los actores principales del mercado se enfocan en “la experiencia del usuario” trabajando en los temas de seguridad de manera reactiva. #1HackParaLosChicos   9  
  • 10. Problemá7ca-­‐  Seguridad  Física   Como en los viejos tiempos, la pérdida y/o el robo representan hoy en día el problema más significativo. En el mejor de los casos, solo deberíamos lamentar la pérdida del hardware, de no ser así, es solo el principio del problema. El escenario corporativo más afectado es el IGWT ya que desconoce la existencia de los equipos en la red, de la información almacenada en el mismo (claves, datos, mails, etc) e incluso hasta de la pérdida producida. #1HackParaLosChicos   10  
  • 11. Problemá7ca  –  Seguridad  en  Sistemas   Opera7vos   La diversidad y segmentación (fragmentación) de los sistemas operativos disponibles para los dispositivos móviles plantea desde el inicio un complejo escenario: ü  Administración de perfiles de multi-usuario ü  Arquitectura de seguridad (basados en ID o Privilegios) ü  Segmentación/fragmentación de versiones ü  Gestión y remediación de vulnerabilidades #1HackParaLosChicos   11  
  • 12. Problemá7ca  –  Seguridad  en  Sistemas   Opera7vos   #1HackParaLosChicos   12  
  • 13. Problemá7ca  –  Seguridad  en  Sistemas   Opera7vos   #1HackParaLosChicos   13  
  • 14. Problemá7ca  –  Arquitectura   Funcionalidad  vs  Seguridad   DEMO   #1HackParaLosChicos   14  
  • 15. Problemá7ca:   Seguridad  en  Aplicaciones   Si bien existe multiplicidad de problemas a nivel aplicación, quizás la forma más clara de representarla se resume en los siguientes puntos: ü  Ausencia de buenas practicas de desarrollo seguro ü  Aspectos de diseño (Usabilidad vs Seguridad) ü  Instalación de software no controlado ü  Controles en la firma de aplicaciones ü  Malware ü  Canales de comunicación inseguros #1HackParaLosChicos   15  
  • 16. Problemá7ca:     Seguridad  en  Aplicaciones   DEMO   #1HackParaLosChicos   16  
  • 17. Problemática – Seguridad en Almacenamiento de Datos La mayoría de los dispositivos móviles poseen más de una zona donde almacenar los datos, independientemente de su arquitectura. Todos los actores están de acuerdo en que deben protegerlos, sin embargo no todos lo hacen de la misma forma: ü  Cifrado a nivel de RAM ü  Cifrado a nivel de ROM ü  Cifrado a nivel de Memoria de Local ü  Cifrado a nivel de Memoria de Almacenamiento Extraíble (SD) ü  Cifrado a nivel de copia de seguridad externa #1HackParaLosChicos   17  
  • 18. Problemá7ca  –  Seguridad  en     Control  de  Accesos   Muy relacionado con el acceso físico, y conformando la primer barrera de protección, el PIN o CLAVE se convierte en un factor primordial. ü  Claves débiles (predictibilidad y tamaño) ü  Teclados complejos para claves complejas ü  Ingeniería social (shoulder surfing) ü  Almacenamiento inseguro de claves en los dispositivos ü  Ausencia de múltiples capas de validación. #1HackParaLosChicos   18  
  • 19. Problemá7ca  –  Seguridad  en     Control  de  Accesos   #1HackParaLosChicos   19  
  • 20. Problemá7ca  –  Seguridad  en     Control  de  Accesos   DEMO   #1HackParaLosChicos   20  
  • 21. Problemá7ca:   Otros  aspectos  relevantes   ü  802.11 ü  Bluetooth ü  3G / EDGE / GSM ü  USB / Mini USB / etc ü  Privacidad (Geolocalización y Metadatos) #1HackParaLosChicos   21  
  • 22. Contramedidas   #1HackParaLosChicos   22  
  • 23. Contramedidas   Definir estándares de seguridad independientemente de la plataforma. Concienciación de usuarios. Utilizar los sistemas de administración centralizada (Mobile Device Manager) para las plataformas implementadas: - Habilitar borrado remoto. - Habilitar bloqueo remoto. - Geolocalización del equipo. - Aplicación de Políticas (OTA) #1HackParaLosChicos   23  
  • 24. Contramedidas   Robustecer controles de acceso según criticidad del dispositivo/dueño (Pin a nivel de OS, Pin a nivel de SIM, Medios Extraíbles, autenticación por aplicación y factor de autenticación múltiple) Cifrado de la información (medios de almacenamiento locales, extraíbles y memorias). Gestión de aplicaciones: - Soluciones antimalware. - Utilización de canales seguros por cualquier interface. - Descarga e instalación de APP’s de fuentes confiables. #1HackParaLosChicos   24  
  • 25. Conclusiones   Los dispositivos móviles, son más que una moda. Administrarlos de manera descentralizada es como implementar parches máquina por máquina en nuestra red. Si los usuarios no entienden el problema, las soluciones puramente técnicas serán poco efectivas. Los problemas de seguridad ya los conocemos, solo se mudaron a otro escenario. Igualmente recuerde… #1HackParaLosChicos   25  
  • 26. Conclusiones   …Atiende en todas partes, las 24 horas #1HackParaLosChicos   26  
  • 27. Preguntas?   @holesec   @simubucks   #1HackParaLosChicos   27  
  • 28. Muchas  Gracias!!   #1hackparaloschicos